2023年9月20日にJISQ27001が2023年版として発行されました。
もうでるだろうと毎月20日を楽しみにしていたのは、週刊漫画雑誌を楽しみにしていた学生の頃以来でしょうか。
審査員のアップグレード研修の後にJISQ27001の最新版を入手し、文書類の雛形作成に入っていました。
まずタイトルの変更がありました。
これは、情報セキュリティの対象となるものが具体的になた部分と、社会の変化に合わせて対象となるものが増えたことを反映されています。
JISQ27001:2014「情報技術-セキュリティ技術-」
JISQ27001:2023「情報セキュリティ,サイバーセキュリティ及びプライバシー保護」
そして、一番大きな変化は『管理策の最適化』と思われていますが、当社としては次の項番が大きな変更だと考えています。
「4.4 情報セキュリティマネジメントシステム」
この項では「必要なプロセス及びそれらの相互作用を含む」という一文が追加されています。これは、ISO9001の『プロセスアプローチ』に合わせられたという解釈が一般的のようです。
これを実施する場合はリスクアセスメントに『業務プロセス』を追加必要があるのだろうか。これは、HACCPの考え方に近づいているように感じる。プロセスを評価するには業務フローが必要になり、業務における情報セキュリティのリスク評価を行う。要は業務フローの中でCCPを探すということになります。
いままでは『情報資産』単位の評価をしていたのですが、状況や場所によってリスクが変化することになります。これは、規格改定前からも審査の中ではクライアントに質問している内容だったので、こういう面でも現状に合ってきたなと感じることができます。
管理策は変更と統廃合、及び、新しく11項目が追加されました。
しかし、その数は114から93に減っています。その内容は現代におけるクラウドサービスの拡大に合わせ、インターネットを介した業務を前提としたものになっています。一方、ソフトウェアの開発においては旧版が雑すぎたという見方ができます。30年前からソフトウェア開発に携わっているものとしては、旧版のやりにくさが解消されていますが、要求事項が変わったからといって審査内容は変わりません。どちらかというとコンサルティングがしやすくなったといえます。
コメントを残す